Montage de NFS3 à l'aide de Kerberos et AD

9

J'ai un serveur Linux (Centos 5.6) qui doit monter automatiquement les répertoires personnels à partir d'un partage NFS Windows (Server 2008) à l'aide de Kerberos. Le partage monte (avec l'utilisateur et le groupe nobody) si l'authentification est désactivée. Cependant, si le -o sec=krb5drapeau est passé, je reçois mount.nfs: permission denied.

En tant que root, j'avais l'habitude kinitd'obtenir un ticket et klistme dit que c'est un ticket valide. Googler l'erreur n'a pas donné grand-chose, car cela semble être un fourre-tout. Rien d'utile n'a été trouvé dans aucun des journaux dans lesquels j'ai regardé. L'accès root est défini sur autorisé sur le partage Windows.

En raison du partage à partir de Windows, de nombreuses ressources disant de modifier les paramètres du serveur ne s'appliquent pas aussi directement.

Avez-vous des idées pour que cela fonctionne?

linux windows-server-2008 nfs Ethan
la source
1
Êtes-vous sûr que les fenêtres peuvent exporter en NFS4? AFAIK vous avez besoin de NFS4 pour utiliser des kerberos.
wazoox
Désolé, c'est NFS3. Windows - à ma connaissance - ne prend en charge que NFS3. Cependant, la page d'options pour NFS dans Windows répertorie KRB5 et KRB5i comme options, j'ai donc supposé que cela fonctionnait.
Ethan

Réponses:

1

La chose qui m'a attiré - et qui semble être le problème que vous rencontrez - est que root n'utilise pas ... tout ce que vous obtenez de kinit.

Il utilise /etc/krb5.keytab, avec lequel vous pouvez lister klist -kt. Selon la version du système d'exploitation dont vous disposez, il a besoin d'un principal de service HOST ou - pour les versions plus anciennes - d'un principal de service nfs.

net ads joinet net ads keytab createfera la première partie - la création du keytab hôte. Pour RHEL 5, je suis sûr que vous devez créer un principal de service nfs sur votre client, pour lui permettre d'accéder à la ressource NFS. Je suppose que c'est la même chose pour Centos 5.6, mais je ne suis pas sûr à 100%. Je ne peux pas vous donner d'instructions du haut de ma tête - je vais jeter un œil et voir si je peux trouver plus de détails. (Je l'ai fait, et cela fonctionne certainement de cette façon sur RHEL, mais il y a assez longtemps que si je citais les instructions, je me tromperais).

Vous pouvez dépanner en tirant rpc.gssd -f -vvv

Sobrique
la source
0

OK, après quelques recherches, j'ai trouvé cet article qui explique comment réaliser ce que vous recherchez avec un client Solaris. En regardant la partie client de cette autre documentation, vous pourriez peut-être faire fonctionner tout ça ...

Apparemment, d'après ce que j'ai vu en regardant autour de moi, NFS3 sous Linux s'authentifierait contre Kerberos devrait être possible, contrairement à ce que je pensais; cependant, les informations sont incroyablement rares.

Dans le pire des cas, qu'est-ce qui vous empêche d'utiliser la monture CIFS? Après, il est assez bien pris en charge et la documentation abondante.

wazoox
la source
1
Nous avons essayé de faire fonctionner CIFS, et bien que nous puissions le faire monter correctement, nous n'avons pas pu obtenir le module PAM nécessaire pour que les informations d'identification fonctionnent sur CentOS 5. Je serai en mesure de tester cela demain.
Ethan
1
J'ai regardé cela et je n'ai rien vu de différent. Il semble que Windows se comporte mal ici, et bien sûr, je n'ai pas accès à ce serveur. (Nous pouvons regarder la connexion entrer dans Windows et ne rien y faire)
Ethan
Hmm, j'ai entendu dire que les services Unix doivent parfois être redémarrés, cela peut valoir la peine d'essayer ...
wazoox